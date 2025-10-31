

（写真：今井康一撮影）

【画像】「Appleをかたるフィッシングの報告が増えている」と注意喚起するフィッシング対策協議会のページ

Apple公式や宅配業者を名乗るSMSを起点に、社用スマホの連絡先情報などが流出する事故が相次いでいる。

「アカウントに問題があります」「配達に関する重要なお知らせ」など、社用スマホ宛てに届いたこんなメッセージに慌てて対応したらどうなるか。偽サイトにアカウント情報を入力してしまうと、iCloud上の連絡先や写真、書類などの情報に不正アクセスされるリスクにつながる。

社用スマホを安全に運用するためには何が必要なのだろうか。iPhoneからの情報漏洩を防ぐためにできる仕組みづくりを中心に解説する。

増える「Apple」をかたる偽SMS

準大手ゼネコンの熊谷組は2025年7月、社用iPhone経由の被害を公表し、1238件の連絡先が閲覧可能な状態になった可能性を明らかにした。また、小学館は2023年4月、宅配業者を装った不在通知SMSへのアカウント・パスワード入力により、スマホに登録されていた302名分の個人情報流出の可能性を公表している。



フィッシングのうち、スマホのSMSを使ったフィッシングは「スミッシング」とも呼ばれる。

スマホのメッセージ機能はメールに比べて即時性が高く、送信者名やドメインといった手がかりも少ない。さらに、内容も緊急性を装うものが多いことから、判断を誤りやすい。

フィッシングやスミッシングは、宅配業者やカード会社、証券会社を装うものに加え、Appleアカウントをかたるケースも増えている。フィッシング対策協議会では、2025年3月5日付でAppleをかたるフィッシングの報告が増えていることへの注意喚起を公開している。



（出所：フィッシング対策協議会「Appleをかたるフィッシング」）

具体的には、「お客さまの安全を確保するための手続き」「サブスクリプションの有効期限」などの通知を装って偽の公式サイトに誘導し、Apple IDとパスワードの入力を促すものが報告されている。

誘導先の偽サイトも巧妙に作り込まれており、ユーザーは本物のサイトと気づかずに入力してしまう可能性が高い。「iPhone宛てにSMSで送られてくる」ことや、その内容がAppleのアカウントや契約に関するものであることから、ユーザーは本物と誤認しやすくなる。

手口が巧妙化するなか、フィッシングやスミッシングの対策を注意喚起だけで終わらせるのはリスクが大きい。

では、もしSMS経由で届いたメッセージから偽サイトにAppleのアカウント情報を入力してしまった場合、具体的にどのような被害が起こりうるのだろうか。

Appleアカウントのメールアドレスとそれに紐付いたパスワードを入力してしまえば、iCloud Webからアクセスが可能な連絡先や写真、iCloudに保存したデータなどは取得が可能になる。

つまり、取引先担当者や顧客の連絡先を業務用のiPhoneに登録していれば、それらの情報が漏洩してしまう可能性が高い。また、iCloudに業務データを保存しているなら、それらも危険にさらされることになる。

一方で、Appleキーチェーンに保存したパスワードなどの情報は、エンドツーエンド暗号化（E2EE）という仕組みで守られており、アクセスにはユーザーのデバイスに表示されたパスコードを入力する必要があるため、アカウント情報だけを盗まれてもすぐに漏洩する可能性は低い。

詐欺メールの見分け方は

たった1つのアカウントの被害が、会社全体に影響をおよぼす可能性がある。とはいえ、注意喚起だけでは限界がある。そこで必要となるのが社用スマホを安全に運用するための“仕組み”だ。

Appleの公式サポートでは、詐欺のメールやメッセージの見分け方として、「メッセージ内のリンクが正規の会社のWebサイトと一致しない」「メッセージの見た目が、正規の会社から届いたほかのメッセージと大きく異なっている」「クレジットカードやアカウントのパスワードなどの個人情報を要求される」などの具体例を挙げて注意喚起している。



（出所：Appleサポート「フィッシングメッセージ、偽のサポート電話、その他の詐欺を含むソーシャルエンジニアリングスキームを認識し、対処する」）

スマホのブラウザの場合、PCに比べてURL全体を確認しづらい表示になるブラウザが多く、確認せずに操作を進めてしまうリスクが上がる。こういった見分け方や、そもそも「AppleからのSMS」が本物とは限らないことなどを社員に周知することはもちろん大切だ。

「仕組みで守る」対策が不可欠、有効な仕組み3つ

一方で、個人の対策だけで完全に防ぐことには限界があるだろう。偽サイトにアクセスし、アカウント情報などを入力してしまう手前の段階で防ぐことが重要だ。そこで必要になるのが、端末のセキュリティを「仕組みで守る」MDM（モバイルデバイス管理）だ。

Appleデバイスは、組織がiPhoneなどを安全に運用するための仕組みが用意されている。これらの仕組みを導入することでリスクを下げることが可能になる。フィッシング・スミッシング対策の観点で有効な仕組みとしては下記が挙げられる。

■入り口で止める

まず実施できるのが、危険な偽サイトにアクセスさせない方法だ。これには、「DNS Proxy」や「Web Content Filter」といった方法を使う。まず「DNS Proxy」は、アクセス先のドメインを判定し、危険性があると判断した場合には入り口で止める仕組みだ。いわば、住所の段階でその行き先が危険かどうかを判断するものとなる。

そして、「Web Content Filter」は、ページの内容やURL単位で危険なページだけをブロックする仕組みだ。ドメイン単位の判定をすり抜けてしまったものを、この仕組みで防ぐことが期待できる。

■情報を渡さない

業務用のアプリからそれ以外のアプリに情報を渡さないための仕組みとして、「Managed Open In」と呼ばれる仕組みも用意されている。これは、業務アプリ内のリンクをそれ以外のアプリで開いたり、共有したりできなくするものだ。

例えば、SMSの偽リンクをタップしてしまった場合も、原則として会社指定の管理ブラウザで開かれるようになる。後述の「Per-App VPN」とあわせて利用することで、リスクのあるサイトへのアクセスが行われた場合に、管理側でそれを把握できるようになる。

■やりとりを見守る

「Per-App VPN」は、会社が指定した業務アプリや管理ブラウザの通信記録を、会社のネットワークの出入り口であるゲートウェイ側で可視化・制御できる仕組みだ。例えばSMSで受信したメッセージのリンクを開く際に、会社が指定した業務用ブラウザが使われ、その通信記録を会社側で確認できるようになる。

ここでポイントになるのが、すべてのアプリが管理対象となるわけではないことだ。管理対象外のアプリの通信はこの仕組みを通さないため、社員のプライバシーを守りながら安全性を担保できる。

利便性とのバランスも大切

ただし、これらの対策を講じるにあたっては、利便性を損なわないようにすることも重要だ。

例えばWeb Content Filterを使うことで問題のないサイトが誤ってブロックされてしまったり、フィルターを経由することでページの表示が遅くなったり、ログイン時に不具合が発生したりする可能性もある。

こういった問題が頻繁に発生すれば、それがストレスになり、社用スマホを使わず、個人所有のスマホで業務を行うシャドーITにつながるリスクがある。

どの程度誤判定が発生するかが見えるまでは遮断ではなく警告表示のみを行い、運用が安定してきた時点で部分的に遮断するといった段階を踏むことや、業務で必要なサイトへのアクセスの許可申請をしやすくする仕組みを用意するといった、利便性とのバランスを考えた設計も重要だ。

三層でリスクを低減させることが重要

フィッシングやスミッシングに引っかかることを完全に防ぐのは困難だ。とくにスマホに送られてくるスミッシングは緊急性を装う内容のものが多く、あせりの気持ちから判断を誤るケースも多い。

スマホが業務に不可欠になっているからこそ、「入り口で止める」「情報を渡さない」「やりとりを見守る」の三層でリスクを低減させることが重要だ。利用する社員のリテラシーだけに頼らない仕組みづくりが求められている。

（酒井 麻里子 ： ウレルブン 代表）